wie entferne ich w32.spybot.worm, backdoor.ranky und trojan.dropper |
||
---|---|---|
#0
| ||
04.04.2005, 15:56
Member
Beiträge: 15 |
||
|
||
07.04.2005, 15:28
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@roedel.de
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Sysres] Sysres.exe<--- LOGMOD TROJAN O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system32\defragfatx.exe<--W32/Poebot-F O4 - HKLM\..\Run: [Services] C:\WINNT\system32\windns.exe<--W32/Forbot-EP O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe<--W32/Sdbot-RY O13 - WWW. Prefix: http:// PC neustarten--> in den abgesicherten Modus bevor du diese exe loeschst, schau mit rechtsklick-->Eigenschaften-->das Erstellungsdatum. Dann suche weitere Dateien, koennen auch *pif oder ini oder *bat oder *dll -Dateien sein (mit dem gleichen Erstellungsdatum) und loesche alles C:\WINNT\Sysres.exe C:\WINNT\SysTrace.daf http://vil.nai.com/vil/content/v_99827.htm C:\WINNT\system32\defragfatx.exe C:\WINNT\system32\windns.exe C:\WINNT\System32\spoolsvc.exe How can I try F-Secure BlackLight Rootkit Elimination Technology? A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005. http://www.f-secure.com/blacklight/cure.shtml Graphical user interface version: (Recommended for most users) lade: fsbl.exe •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php ----------------------------------------------------------------------- W32/Poebot-F http://www.sophos.com/virusinfo/analyses/w32poebotf.html may spread to remote network shares protected by weak passwords and computers vulnerable to common exploits, including RPC-DCOM (MS04-012) LSASS (MS04-011) and WebDav (MS03-007). http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx W32/Forbot-EP ist ein Wurm, der versucht sich auf remote Netzwerkfreigaben und auf Computer zu verbreiten, die für häufige Schwachstellen anfällig sind. W32/Forbot-EP enthält außerdem Backdoortrojaner-Funktionalität und ermöglicht unbefugten Fernzugriff auf den infizierten Computer über das IRC-Netzwerk, während er als Dienstprozess im Hintergrund läuft. W32/Forbot-EP verbindet sich mit einem vorkonfigurierten IRC-Kanal und wartet auf Befehle von einem remoten Eindringling. Zu diesen Befehlen gehört, das Stehlen von Daten, das Löschen von Netzwerkfreigaben, das Herabsetzen der Systemsicherheit, das Starten eines Proxyservers, das Teilnehmen an DDoS-Attacken, das Ausnutzen von Schwachstellen, das Stehlen von Registrierungsschlüsseln für Computerspiele und das Aufspüren von E-Mail-Adressen im Windows-Adressbuch sowie in den Konfigurationsdateien des Instant Messengers. W32/Forbot-EP kopiert sich in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er automatisch bei der Anmeldung gestartet wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Windows Domain Name Drivers = windns.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Windows Domain Name Drivers = windns.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Windows Domain Name Drivers = windns.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Windows Domain Name Drivers = windns.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Windows Domain Name Drivers = windns.exe Auf NT-basierten Windows-Versionen (XP, 2000, NT) wird windns.exe als neuer Dienst namens "IEXPLORER-Drivers" mit dem Anzeigenamen "Windows Domain Name Drivers" gestartet. An folgender Stelle werden neue Registrierungseinträge erstellt: HKLM\SYSTEM\CurrentControlSet\Services\IEXPLORER-Drivers http://www.sophos.de/virusinfo/analyses/w32forbotep.html -------------- W32/Sdbot-RY is a worm and backdoor for the Windows platform. The worm component attempts to spread to remote network shares and the backdoor allows a malicious user remote access to an infected computer via IRC channels while running in the background as a service process. W32/Sdbot-RY copies itself to the Windows system folder with the filename spoolsvc.exe and in order to run automatically when Windows starts up creates the following registry entries: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Win32 System Spool=spoolsvc.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Win32 System Spool=spoolsvc.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Win32 System Spool=spoolsvc.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Win32 System Spool=spoolsvc.exe HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ Win32 System Spool=spoolsvc.exe. W32/Sdbot-RY attempts to spread to network machines using various exploits including the LSASS vulnerability (see MS04-011). W32/Sdbot-RY may function as a proxy server, delete network shares and steal information related to popular games. http://www.sophos.com/virusinfo/analyses/w32sdbotry.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2005, 15:05
Member
Themenstarter Beiträge: 15 |
#3
Hallo Sabina
vielen Dank für diese ausführliche Hilfe und die Linksammlung. Da habe ich mir ja echt freundliche Kameraden reingerüsselt. Mir ist zwar nicht ganz klar, wie ich das geschafft habe, aber naja. Eigentlich dachte ich immer, ich halte Surf-Disziplin, öffne keine verdächtigen Mails (auch nicht in der Vorschau) und das herunterladen von Musik, Filmen, größeren Dateieno.ä. verbietet sich bei meinem braven 56K Modem sowieso von selbst. Auf jeden Fall habe alles so ausgeführt und mein Rechner ist nach der eben erfolgreichen Anti-Virus-Analyse wieder clean. Macht weiter so und schönes Wochenende Claudia |
|
|
||
08.04.2005, 16:48
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@roedel.de
[color="blue"]Dann poste mal bitte das neue Log vom HijackThis (zur Ueberpruefung) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2005, 11:26
Member
Themenstarter Beiträge: 15 |
#5
Hallo Sabina
hier ist das aktuelle Logfile: Logfile of HijackThis v1.99.1 Scan saved at 11:16:25, on 11.04.05 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolss.exe C:\PROGRA~1\Navnt\npssvc.exe C:\WINNT\system32\RpcSs.exe C:\WINNT\system32\tapisrv.exe C:\WINNT\system32\rasman.exe C:\WINNT\System32\esserver.exe c:\winnt\system32\pstores.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\SENS.EXE C:\WINNT\System32\nddeagnt.exe C:\WINNT\Explorer.exe C:\WINNT\System32\SysTray.Exe C:\hardware\mouse\system\em_exec.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE E:\cr\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Volkswagen Bank direct F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EM_EXEC] c:\hardware\mouse\system\em_exec.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spx: C:\maerklin plugin\Open SPX Plugin\npspx32.dll O23 - Service: NAV Warnmeldung (NAV Alert) - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe Laut Auto-Auswertung ist es soweit i.O., oder habe ich etwas übersehen ? Frage: Ist es für mich ohne weiteres möglich, das von dir beschriebene SP 2 für XP auch für mein Betriebssystem ( NT 4.0 ) zu benutzen ? Oder meintest du das SP 2 für den Internet Explorer ? Bis später Claudia |
|
|
||
11.04.2005, 15:54
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@roedel.de
Die nddeagnt / nddeagnt.exe (Network Dynamic Data Exchange Agent ) stammt von der Firma " Microsoft “. Die nddeagnt.exe ist für die Verarbeitung von Netzwerkanfragen zuständig. ( DDE - Dynamic Data Exchange = Ein Dienst, welcher für Netzwerktransport und Sicherheit für den dynamischen Datenaustausch zuständig ist ). Frage: verwendest du diesen-Agenten ? Berichte von den Scanns •RAV ANTIVIRUS SCAN ONLINE http://www.ravantivirus.com/scan/index.php •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm ---------------------------------------------------------------------- Windows NT 4 (ist natuerlich nicht XP)...entschuldige meinen Lapsus __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2005, 08:53
Member
Themenstarter Beiträge: 15 |
#7
Hallo Sabina
mit dem Lapsus ist schon oK, kann ja mal vorkommen. Ich bin so ziemlich die einzige im Freundeskreis, die noch NT benutzt, von daher ist die Verwechslungsgefahr immer groß. Nun zu deiner Frage: Also, ich stehe nicht in irgendeiner Netzwerkverbindung, der Rechner ist sozusagen ein Einzelplatzrechner. Außer Mails abrufen und im Internet rumschauen stelle ich mit ihm nix weiter an. Vor ein paar Jahren habe ich mir über Telnet noch Daten für meine Heimarbeit runtergezogen, das ist aber auch vorbei. Für welche Aktionen braucht man denn den Agenten ? Und was für Konsequenzen kann eine Deaktivierung haben bzw. ist er - wenn benötigt - wieder einfach zu aktivieren ? Freue mich auf deine fachkundige Antwort - da lerne ich Laie immer was dazu Claudia |
|
|
||
12.04.2005, 13:40
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@roedel.de
Zitat F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe das macht mich stutzig.... ueberpruefe mal bitte: nddeagnt.exe einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html • Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2005, 11:23
Member
Themenstarter Beiträge: 15 |
#9
Hallo Sabina,
anbei die Ergebnisse der Scans von Nddeagnt.exe: ...von www.virustotal.com ... This is a report processed by VirusTotal on 04/13/2005 at 11:06:33 (CET) after scanning the file "Nddeagnt.exe" file. Antivirus Version Update Result AntiVir 6.30.0.7 04.13.2005 no virus found AVG 718 04.12.2005 no virus found BitDefender 7.0 04.12.2005 no virus found ClamAV devel-20050307 04.13.2005 no virus found DrWeb 4.32b 04.13.2005 no virus found eTrust-Iris 7.1.194.0 04.13.2005 no virus found eTrust-Vet 11.7.0.0 04.12.2005 no virus found Fortinet 2.51 04.13.2005 no virus found F-Prot 3.16a 04.12.2005 no virus found Ikarus 2.32 04.12.2005 no virus found Kaspersky 4.0.2.24 04.13.2005 no virus found McAfee 4467 04.12.2005 no virus found NOD32v2 1.1059 04.12.2005 no virus found Norman 5.70.10 04.12.2005 no virus found Panda 8.02.00 04.12.2005 no virus found Sybari 7.5.1314 04.13.2005 no virus found Symantec 8.0 04.12.2005 no virus found ...uns hier von Jottis Malwarescan... Jottis Malwarescan 2.99-TRANSITION_TO_3.00 Datei: Nddeagnt.exe Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Das einzige, was mich jetzt stutzig macht, ist das Erstelldatum. Es passt nämlich mit Datum und Uhrzeit zur Trojan.Dropper-Datei (W32/Sdbot-RY). Insgesamt taucht die Datei 4x auf meinem Rechner auf. c:\servicep4\i368 c:\temp\i368 c:\winnt\$NtServicePackUninstall$ c:\winnt\system32 Die Datei in den ersten drei Verzeichnissen haben alle die gleiche Größe, das gleiche Datum, nur die Uhrzeit ist geringfügig unterschiedlich. Diese Daten passen zu keiner Virus-Datei. Die unter c:\winnt\system32\ passt mit Datum und Uhrzeit genau zur Virus-Datei. Die Größe ist genauso wie bei der Datei in den anderen Verzeichnissen. Ich hoffe, ich war verständlich genug. Kannst du mit der Information was anfangen ? Bis später Claudia |
|
|
||
13.04.2005, 11:57
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@roedel.de
Ich denke, wir riskieren es.....dein PC ist war sowieso so was von verseucht, dass eine Neuinstallation kein Problem ist... 2.)dann gehe in die Registry und Bearbeiten--> suchen-->nddeagnt.exe -->was du findest ...mir schreiben) [b]3.)c:\winnt\system32\nddeagnt.exe und suche noch eine dll,ini, bat,pif die zur Infektionszeit passt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2005, 14:43
Member
Themenstarter Beiträge: 15 |
#11
Hallo Sabina
also, hier die Einträge in der Registry: In den Pfaden HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU\ und HKU\S-1-5-21-1613324561-1688422660-2033415169-500\Software\ Microsoft\Windows\CurrentVersion\Explorer\Doc Find SpecMRU\ sieht es so aus: Schlüssel Zeichenfolge (Standard) (Wert nicht gesetzt) a ““ b “*.*“ c “nddeagnt.exe“ d “*.daf“ e “sys*.exe“ f “sysres.exe“ g “nddeagnt.exe“ h “*.dll“ i “nddeagnt.exe;*.vir“ j “algs.exe“ MRUList “dbaigjechf“ und im Pfad HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon sieht es so aus: Schlüssel Zeichenfolge (Standard) (Wert nicht gesetzt) AutoRestartShell 0x00000001 (1) DebugServerCommand “no“ DefaultDomainName “Workstation“ DefaultUserName “Administrator“ LegalNoticeCaption ““ LegalNoticeText ““ PowerDownAfterShutdown “0“ ReportBookOk “1“ Shell “Explorer.exe“ ShutdownWithoutLogon “1“ System “lsass.exe“ Userinit “userinit,nddeagnt.exe“ VmApplet “rundll32 shell32,Control_RunDll “sysdm.cpl“ “ was auch immer das alles heißen mag, ich hoffe, du kannst damit was anfangen. Wenn ich alle Dateien, die das gleich Datum und Uhrzeit wie die eine Virusdatei aufweisen löschen würde, dann bliebe unter c:\winnt\system32 und ein paar anderen Ordnern so gut wie keine dll-Datei über. Auch mehrere exe (z.B. cmd.exe, wordpad.exe, clock.exe, calc.exe etc.) wären davon betroffen. Heißt das, das sie alle potentiell infiziert sind oder trägt sich der Wurm in vorhandene Dateien ein, ohne das Datum zu ändern. Es könnte nämlich sein, das das Datum (in dem Fall 19.11.99, 13:06) der Zeitpunkt war, an dem ich das System schon mal neu aufgesetzt habe, sicher bin ich mir aber nicht, kann also auch Zufall sein. Und wieso, wenn mein Rechner so infiziert ist, springt mein NortonAntiVirus dann nicht an, obwohl ich die neusten Virusinformationen habe ? Oder sorgt diese nddeagnt.exe oder eine andere Datei nur dafür, dass ständig neue Dateien infiziert werden ? ini, bat oder pif-dateien mit gleichen Daten habe ich nicht gefunden. Bis später Claudia |
|
|
||
15.04.2005, 01:46
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@roedel.de
•eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2005, 10:42
Member
Themenstarter Beiträge: 15 |
#13
Hallo Sabina
ich habe mir das eScan-Erkennungstool gerade heruntergeladen - war mit meinem braven 56K Modem ganz schön heftig. Ich bin die nächsten Tage viel unterwegs und werde wohl erst am Sonntag oder Anfang nächster Woche dazu kommen, das alles in Ruhe auszuführen. Nur damit du Bescheid weist. Ich habe erst mal mein Norton AutoProtect so konfguriert, dass er bei allen Aktionen wachsam ist. Gestern hat er auch zum ersten Mal angeschlagen und zwar, als wir im Internet waren und gerade E-Mails über einen unserer Provider abgerufen haben. Nur waren die E-Mails allesamt von bekannten Leuten und stets ohne irgendeinen auffälligen Anhang. Angesprungen ist er beim Öffnen einer Email ohne Anhang. Hat das was zu bedeuten oder war das nur Zufall ? Ich melde mich dann, wenn ich die beschriebenen Aktionen ausgeführt habe. Schönes Wochenende Claudia |
|
|
||
15.04.2005, 11:30
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@roedel.de
es kann sein, dass die Mails von Leuten kommen, die ohne es zu wissen, vor einem virenbefallenen PC aus Mails schicken.... Es gibt auch Wuermer, die sich von allein verschicken, also ohne jeden Anhang. Die Absender dieser Mails solltest du benachrichtigen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.04.2005, 21:36
Member
Themenstarter Beiträge: 15 |
#15
Hallo Sabina,
alles klar, da werde ich mal die Leutchen benachrichtigen. Hier nun die „infected“-Zeilen + die Zusammenfassung. Zusätzlich habe ich die Zeilen, die beim Scan zwar angemotzt wurden aber nicht als „infected“ markiert wurden und die „error“-Zeilen noch mitgeliefert. Ich habe das Gefühl, einige Dateien wurden mehrere Male bei einem Scan durchgecheckt. Deshalb hat wohl auch so lange gedauert (fast 1,5 h). Sun Apr 17 12:22:58 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Sun Apr 17 12:22:58 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Sun Apr 17 12:28:40 2005 => File C:\WINNT\System32\szroudzo.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken. Sun Apr 17 13:42:40 2005 => File C:\WINNT\system32\szroudzo.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken. Sun Apr 17 14:14:08 2005 => File C:\WINNT\system32\szroudzo.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken. Sun Apr 17 12:30:24 2005 => File C:\TEMP\GL_4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Apr 17 13:06:21 2005 => File C:\software\WAVELAB\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Apr 17 13:08:17 2005 => File C:\TEMP\GL_4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Apr 17 13:45:22 2005 => File D:\Programme\Snapshot\Siuninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Apr 17 13:07:09 2005 => Result: ERROR!!! File C:\software\Winzip\Version8\WINZIP80.EXE is Not Scanned Sun Apr 17 13:07:09 2005 => C:\software\Winzip\Version8\WINZIP80.EXE not Scanned. Possibly password protected... Sun Apr 17 13:07:00 2005 => Result: ERROR!!! File C:\software\Winzip\Version7\winzip70.exe is Not Scanned Sun Apr 17 13:07:00 2005 => C:\software\Winzip\Version7\winzip70.exe not Scanned. Possibly password protected... Sun Apr 17 12:49:44 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!! Sun Apr 17 12:49:44 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys Sun Apr 17 14:15:16 2005 => Total Objects Scanned: 24910 Sun Apr 17 14:15:16 2005 => Total Virus(es) Found: 8 Sun Apr 17 14:15:16 2005 => Total Disinfected Files: 0 Sun Apr 17 14:15:16 2005 => Total Files Renamed: 0 Sun Apr 17 14:15:16 2005 => Total Deleted Objects: 0 Sun Apr 17 14:15:16 2005 => Total Errors: 3 Sun Apr 17 14:15:16 2005 => Time Elapsed: 01:53:20 Sun Apr 17 14:15:16 2005 => Virus Database Date: 2005/04/13 Sun Apr 17 14:15:16 2005 => Virus Database Count: 125667 Ich hoffe, du hast jetzt erstmal die wichtigen Infos. Bis später Claudia |
|
|
||
seit letzter Woche plage ich mich mit den o.g. Würmen herum. Ich habe auch schon versucht, diese über die NoAdware oder über die XoftSpy-Software loszuwerden, aber ohne Erfolg, da ich die Software nicht fehlerfrei installieren kann. In den entsprechenden dll-Dateien kann der Prozesseinstiegspunkt nicht gefunden werden. Die infizierten Dateien sind:
C:\WINNT\system32\defragfatx.exe (w32.Spybot.worm)
C:\WINNT\system32\windns.exe (backdoor.ranky)
C:\WINNT\System32\spoolsvc.exe (Trojan.Dropper)
Ich habe mich auch schon etwas auf den Symantec-Seiten umgesehen und konnte dort einige Infos zum Wurm und zu backdoor.ranky erhalten. Meine Frage ist, ob es reicht, meinen Rechner im VGA-Modus hochzufahren (Betriebssystem NT 4.0 mit SP 6),in der registry die entsprechen Einträge zu löschen und dann die Dateien unter C:\WINNT\system32 zu löschen - sofern dies im VGA-Modus möglich ist. Oder sind die infizierten Dateien für mein System von Bedeutung ?
Hier das HijackThis-Logfile.
Logfile of HijackThis v1.99.1
Scan saved at 15:12:29, on 04.04.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\system32\tapisrv.exe
C:\WINNT\system32\rasman.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\hardware\mouse\system\em_exec.exe
C:\WINNT\System32\loadwc.exe
C:\Programme\Winamp\Winampa.exe
C:\WINNT\Sysres.exe
C:\WINNT\system32\defragfatx.exe
C:\WINNT\system32\windns.exe
C:\WINNT\System32\spoolsvc.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\Programme\Navnt\navapw32.exe
E:\cr\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Volkswagen Bank direct
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] c:\hardware\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Sysres] Sysres.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system32\defragfatx.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\windns.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spx: C:\maerklin plugin\Open SPX Plugin\npspx32.dll
O13 - WWW. Prefix: http://
O23 - Service: NAV Warnmeldung (NAV Alert) - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
Vielen Dank schon mal im voraus
Claudia